Metasploit の Meterpreter を利用した攻撃事例 Posted on 2021年 September 2日 Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワークおよびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Metasploit は CobaltStrike のように、最初の感染のための様々な形のペイロード生成からアカウント情報奪取、内部ネットワークの移動を経てシステムを掌握するまでの段階ごとに必要な機能を提供している。 CobaltStrike は商用プログラムだが、クラック版が流出したことで攻撃者によって頻繁に使用されており、Metasploit は基本的に公開されたオープンソースであることにより、容易に使用できる。ここでは、Metasploit の Meterpreter が攻撃に使用された実事例を取り扱っていく。 Metasploit…
Excel 4.0 マクロによって拡散する Dridex Posted on 2021年 August 27日 最近 ASEC 分析チームは、Excel ドキュメントによって Dridex の配布される方式が素早い周期で変化していることを確認した。昨年から Dridex の配布方式については ASEC ブログを通して紹介しており、最新のものは7月にタスクスケジューラを利用して Dridex を配布する…
「輸出用インゴットの売買契約書」に偽装した不正な Word ドキュメント Posted on 2021年 August 26日 ASEC 分析チームは「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメントを確認し、これについて紹介する。配布されたこのドキュメントの原本は文書タイトルおよび本文内容からして過去に作成されたものと見られ、これを編集して最近配布したものと思われる。 文書タイトル:1MT 거래조건-20140428 .doc (翻訳:1MT 取引条件-20140428 .doc) 文書情報:前回印刷日 – 2014年4月20日前回保存日時 – 2021年8月14日 このドキュメントは文書の保護が設定された状態で存在し、内部の不正なマクロが実行されると、保護を解除した後、攻撃者が挿入しておいた画像を削除して本文内容が表示されるようにする。…
ソフトウェア Crack のダウンロードに偽装した CryptBot マルウェアのアウトラインにおける変化 Posted on 2021年 August 21日 商用ソフトウェアのダウンロードに偽装して配布される CryptBot 等のマルウェアにおいて大小の変形が製作され、活発に拡散している。ASEC 分析チームでは、過去の記事においてマルウェア内部の BAT スクリプトの変形プロセスについて言及したことがある。この記事では、外形的な変化について共有していく。CryptBot マルウェアは従来の 7z SFX アウトラインから MS IExpress…
拡散し続けているパワーポイント形式の不正な添付ファイル Posted on 2021年 August 20日 今年4月、以下の記事を通して PPT ファイルを媒体にして配布されるマルウェアについて紹介した。ASEC 分析チームはパワーポイント形式の PPAM ファイルを利用した不正な振る舞いが最近でも続いていることを確認したため、これについて周知する。 https://asec.ahnlab.com/ko/21964/(韓国語のみ) 4月に紹介した内容はパワーポイントに含まれるマクロが実行されると mshta.exe を利用して不正なスクリプトが挿入された blogspot の…
